锐捷交换机路由器配置教程.docx
《锐捷交换机路由器配置教程.docx》由会员分享,可在线阅读,更多相关《锐捷交换机路由器配置教程.docx(29页珍藏版)》请在冰豆网上搜索。
锐捷交换机路由器配置教程
锐捷交换机路由器配置教程
第一章:
设备配置和文件管理...............4
1.1通过TELNET式来配置设备.......4
1.2更改IOS命令的特权等级..................4
1.3设备时钟设置.............................5
第二章:
交换机基础配置..................5
2.1交换机vlan和trunk的置......5
2.2turnk接口修剪配置........................6
2.3PVLAN配置..................7
2.4端口汇聚配置......8
2.5生成树配置............9
2.6端口镜像配置..........9
第三章:
交换机防止ARP欺骗置........10
3.1交换机地址绑定(address-bind)功能....10
3.2交换机端口安全功能..................10
3.3交换机arp-check功能......11
3.4交换机ARP动态检测功能(DAI)............11
第四章:
访问控制列表配置(ACL).............12
4.1标准ACL配置..............................12
4.2扩展ACL配置..............................13
4.3VLAN之间的ACL配置......................13
4.4单向ACL的配置............................15
第五章:
应用协议配置..........................16
5.1DHCP服务配置.............................16
5.2交换机dot1x认证配置......................18
5.3QOS限速配置..............................19
5.4IPsec配置................................20
5.5GRE配置.................................22
5.6PPTP配置................................22
5.7路由器L2TP配置...........................23
5.8路由器NAT配置.........................24
第六章:
路由协议配置.........................25
6.1默认路由配置..............................25
6.2静态路由配置..............................25
6.3浮动路由配置..............................25
6.4策略路由配置............................25
6.5OSPF配置...............................26
6.6OSPF中routerID配置....................27
第一章:
设备配置和文件管理
1.1通过TELNET式来配置设备
提问:
如通过telnet式来配置设备?
回答:
步骤一:
配置VLAN1的IP地址
S5750>en----进入特权模式
S5750#conf----进入全局配置模式
S5750(config)#intvlan1----进入vlan1接口
S5750(config-if)#ipaddress192.168.0.230255.255.255.0
-为vlan1接口上设置管理ip
S5750(config-if)#exit----退回到全局配置模式
步骤二:
配置telnet密码
S5750(config)#linevty04----进入telnet密码配置模式
S5750(config-line)#login---启用需输入密码才能telnet成功
S5750(config-line)#passwordrscstar---将telnet密码设置为rscstar
S5750(config-line)#exit---回到全局配置模式
S5750(config)#enablesecret0rscstar-配置进入特权模式的密码为rscstar
步骤三:
开启SSH服务(可选操作)
S5750(config)#enableservicessh-server---开启ssh服务
S5750(config)#ipsshversion2-启用sshversion2
S5750(config)#exit--回到特权模式
S5750#wri-保存配置
1.2更改IOS命令的特权等级
提问:
如只允dixy这个用户使用与ARP相关的命令?
回答:
S5750(config)#usernamedixypassworddixy-设置dixy用户名和密码
S5750(config)#usernamedixyprivilege10--dixy帐户的权限为10
S5750(config)#privilegeexeclevel10showarp
-权限10可以使用showarp命令
S5750(config)#privilegeconfigalllevel10arp
--权限10可以使用所有arp打头的命令
S5750(config)#linevty04----配置telnet登陆用户
S5750(config-line)#nopassword
S5750(config-line)#loginlocal
注释:
15级密码为enable特权密码,无法更改,0级密码只能支持disable,
enable,exit和help,1级密码无法进行配置。
1.3设备时钟设置
提问:
如设置设备时钟?
回答:
S5750#clockset12:
45:
5511252008
----设置时间为2008年11月25日12点45分55秒
S5750#clockupdate-calendar---设置日历更新
S5750(config)#clocktimezoneCN822-时间名字为中国,东8区22分
第二章:
交换机基础配置
2.1交换机vlan和trunk的配置
提问:
如在交换机上划分vlan,配置trunk接口?
回答:
步骤一:
给交换机配置IP地址
S2724G#conf
S2724G(config)#intvlan1
S2724G(config-if)#ipaddess192.168.0.100255.255.255.0-
-给VLAN1配置IP地址
S2724G(config-if)#noshutdown-激活该VLAN接口
S2724G(config-if)#exit
S2724G(config)#ipdefault-gateway192.168.0.1-指定交换机的网关地址
步骤二:
创建VLAN
S2724G#conf
S2724G(config)#vlan10---创建VLAN10
S2724G(config-vlan)#exit
S2724G(config)#vlan20---创建VLAN20
S2724G(config-vlan)#exit
步骤三:
把相应接口指定到相应的VLAN中
S2724G(config)#intgi0/10
S2724G(config-if)#switchaccessvlan10
-把交换机的第10端口划到VLAN10中
S2724G(config-if)#exit
S2724G(config)#intgi0/20
S2724G(config-if)#switchaccessvlan20
-把交换机的第20端口划到VLAN20中
S2724G(config-if)#exit
S2724G(config)#intgi0/24
S2724G(config-if)#switchmodetrunk--设置24口为Trunk模式(与三层交换机的连接口
S2724G(config-if)#
步骤四:
保存配置
S2724G(config-if)#end
S2724G#write
2.2turnk接口修剪配置
提问:
如让trunk接口只允部分vlan通过?
回答:
Switch(config)#intfa0/24
Switch(config-if)#switchmodetrunk
Switch(config-if)#switchporttrunkallowedvlanremove10,20,30-40
--不允VLAN10,20,30-40通过Trunk口
2.3PVLAN配置
提问:
如实现几组用户之间的隔离,但同时又都能访问公用服务?
回答:
步骤一:
创建隔离VLAN
S2724G#conf
S2724G(config)#vlan3----创建VLAN3
S2724G(config-vlan)#private-vlancommunity--将VLAN3设为隔离VLAN
S2724G(config)#vlan4-创建VLAN4
S2724G(config-vlan)#private-vlancommunity--将VLAN4设为隔离VLAN
S2724G(config-vlan)#exit--退回到特权模式
步骤二:
创建主VLAN
S2724G(config)#vlan2-进入VLAN2
S2724G(config-vlan)#private-vlanprimary--VLAN2为主VLAN
步骤三:
将隔离VLAN加到到主VLAN中
VLANS2724G(config-vlan)#private-vlanassociationadd3-4
--将VLAN3和VLAN4加入到公用VLAN中,VLAN3和VLAN4的用户可以访问公用接
口
步骤四:
将实际的物理接口与VLAN相对应
S2724G(config)#interfaceGigabitEthernet0/1
----进入接口1,该接口连接服务器或者上联设备
S2724G(config-if)#switchportmodeprivate-vlanpromiscuous
----接口模式为混杂模式
S2724G(config-if)#switchportprivate-vlanmapping2add3-4
---将VLAN3和VLAN4映射到VLAN2上
S2724G(config)#intgi0/10--进入接口10
S2724G(config-if)#switchportmodeprivate-vlanhost
S2724G(config-if)#switchportprivate-vlanhost-association23
----该接口划分入VLAN3
S2724G(config)#intgi0/20--进入接口20
S2724G(config-if)#switchportmodeprivate-vlanhost
S2724G(config-if)#switchportprivate-vlanhost-association24
----该接口划分入VLAN4
步骤五:
完成VLAN的映射
S2724G(config)#intvlan2-进入VLAN2的SVI接口
S2724G(config-if)#ipaddress192.168.2.1255.255.255.0
----配置VLAN2的ip地址
S2724G(config-if)#private-vlanmappingadd3-4
----将VLAN3和VLAN4加入到VLAN2中
注释:
1.S20、S21不支持私有VLAN,可以通过保护端口实现类似功能
2.S3250、S3750和S5750同时支持保护端口和私有VLAN
3.S3760不支持私有VLAN和保护端口
2.4端口汇聚配置
提问:
如将交换机的端口捆绑起来使用?
回答:
S5750#conf
S5750(config)#interfacerangegigabitEthernet0/14
-同时进入1到4号接口
S5750(config-if)#port-group1--设置为聚合口1
S5750(config)#interfaceaggregateport1--进入聚合端口1
注意:
配置为AP口的接口将丢失之前所有的属性,以后关于接口的操作只能在AP1口上面进行
2.5生成树配置
提问:
如配置交换机的生成树?
回答:
步骤一:
根桥的设置
switch_A#conft
switch_A(config)#spanning-tree---默认模式为MSTP
switch_A(config)#spanning-treemstconfiguration
switch_A(config)#spanning-treemst10priority4096-设置为根桥
步骤二:
非根桥的设置
switch_B#conft
switch_B(config)#spanning-tree-默认模式为MSTP
switch_B(config)#spanning-treemstconfiguration
switch_B(config)#intf0/1--PC的接入端口
switch_B(config)#spanning-treebpduguardenable
switch_B(config)#spanning-treeportfast
2.6端口镜像配置
提问:
如配置交换机的端口镜像?
回答:
switch#conft
switch#(config)#
switch(config)#monitorsession1sourceinterfacegigabitEthernet3/1both---监控源口为g3/1
switch(config)#monitorsession1destinationinterfacegigabitEthernet3/8switch---监控目的口为g3/8,并开启交换功能
注意:
S2026交换机镜像目的端口无法当做普通接口使用
第三章:
交换机防止ARP欺骗配置
3.1交换机地址绑定(address-bind)功能
提问:
如对用户ip+mac进行两元素绑定?
回答:
S5750#conf
S5750(config)#address-bind192.168.0.1010016.d390.6cc5
----绑定ip地址为192.168.0.101MAC地址为0016.d390.6cc5的主机让其使用网络
S5750(config)#address-binduplinkGigabitEthernet0/1
----将g0/1口设置为上联口,也就是交换机通过g0/1的接口连接到路由器或是出口设备,
如果接口选择错误会导致整网不通
S5750(config)#address-bindinstall----使能address-bind功能
S5750(config)#end----退回特权模式
S5750#wr---保存配置
注释:
1.如果修改ip或是MAC地址该主机则无法使用网络,可以按照此命令添加多条,添加的条数跟交换机的硬件资源有关
2.S21交换机的address-bind功能是防止Ip冲突,只有在交换机上绑定的才进行ip和MAC的匹配,如果下边用户设置的ip地址在交换机中没绑定,交换机不对该数据包做控制,直接转发。
3.2交换机端口安全功能
提问:
如对用户ip+mac+接口进行三元素绑定?
回答:
S5750#conf
S5750(config)#intg0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)#switchportport-securitymac-address0016.d390.6cc5
ip-address192.168.0.101
----在23端口下绑定ip地址是192.168.0.101MAC地址是0016.d390.6cc5的主机,确保该主机可以正常使用网络,如果该主机修改ip或者MAC地址则无法使用网络,可以添加多条来实现对接入主机的控制
S5750(config-if)#switchportport-security----开启端口安全功能
S5750(config)#end----退会特权模式
S5750#wr--保存配置
注释:
可以通过在接口下设置最大的安全地址个数从而来控制控制该接口下可使用的主机数,安全地址的个数跟交换机的硬件资源有关
3.3交换机arp-check功能
提问:
如防止错误的arp信息在网络里传播?
回答:
S5750#conf
S5750(config)#intg0/23
----进入第23接口,准备在该接口绑定用户的MAC和ip地址
S5750(config-if)#switchportport-securitymac-address0016.d390.6cc5
ip-address192.168.0.101----ip+mac绑定信息
S5750(config-if)#switchportport-security---开启端口安全功能
S5750(config-if)#switchportport-securityarp-check
-开启端arp检查功能
S5750(config)#end--退会特权模式
S5750#wr-保存配置
注释:
开启arp-check功能后安全地址数减少一半,具体情况请查阅交换机配置指南
3.4交换机ARP动态检测功能(DAI)
提问:
如在动态环境下防止ARP欺骗?
回答:
步骤一:
配置DHCPsnooping
S3760#cont
S3760(config)#ipdhcpsnooping----开启dhcpsnooping
S3760(config)#intf0/1
S3760(config-if)#ipdhcpsnoopingtrust-设置上连口为信任端口(注意:
缺省所有端口都是不信任端口),只有此接口连接的服务器发出的DHCP响应报文才能够被转发.
S3760(config-if)#exit
S3760(config)#intf0/2
S3760(config-if)#ipdhcpsnoopingaddress-bind
----配置DHCPsnooping的地址绑定功能
S3760(config-if)#exit
S3760(config)#intf0/3
S3760(config-if)#ipdhcpsnoopingaddress-bind
----配置DHCPsnooping的地址绑定功能
步骤二:
配置DAI
S3760(config)#iparpinspection---启用全局的DAI
S3760(config)#iparpinspectionvlan2-启用vlan2的DAI报文检查功能
S3760(config)#iparpinspectionvlan3-启用vlan3的DAI报文检查功能
第四章:
访问控制列表配置(ACL)
4.1标准ACL配置
提问:
如只允端口下的用户只能访问特定的服务器网段?
回答:
步骤一:
定义ACL
S5750#conft--进入全局配置模式
S5750(config)#ipaccess-liststandard1--定义标准ACL
S5750(config-std-nacl)#permit192.168.1.00.0.0.255
----允访问服务器资源
S5750(config-std-nacl)#denyany--拒绝访问其他任资源
S5750(config-std-nacl)#exit--退出标准ACL配置模式
步骤二:
将ACL应用到接口上
S5750(config)#interfaceGigabitEthernet0/1--进入所需应用的端口
S5750(config-if)#ipaccess-group1in-将标准ACL应用到端口in向
注释:
1.S1900系列、S20系列交换机不支持基于硬件的ACL。
2.实际配置时需注意,在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。
3.以上所有配置,均以锐捷网络S5750-24GT/12SFP软件版本10.2
(2)为例。
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
4.2扩展ACL配置
提问:
如禁止用户访问单个网页服务器?
回答:
步骤一:
定义ACL
S5750#conft---进入全局配置模式
S5750(config)#ipaccess-listextended100--创建扩展ACL
S5750(config-ext-nacl)#denytcpanyhost192.168.1.254eq
----禁止访问web服务器
S5750(config-ext-nacl)#denytcpanyanyeq-预防冲击波病